Estou um pouco confuso com os abundantes tutoriais tcpdump na internet. Eu estou tendo algumas das máquinas virtuais em execução em um servidor de virtualização. Onde estou depurando um problema. Port 53 é o único problema. Eu tenho uma configuração em ponte, onde fora de 4 placas de rede na máquina em questão um está ativo e é xen-br0 Eu quero verificar se há alguma solicitação vindo na porta 53 no servidor por outras máquinas na LAN em questão. Eu também quero ver se os sistemas operacionais convidados na LAN ou qualquer outra máquina está enviando o tráfego na porta 53. Devido à abundância de mensagens sendo geradas via tcpdump eu estou encontrando dificuldades para grep a saída na porta desejada.
Então, como posso usá-lo se alguém puder dar um exemplo que seria útil. Agradecemos antecipadamente.
Você pode usar este comando: tcpdump -n -s 1500 -i porta eth0 udp 53 (Substitua "eth0" pelo nome da sua interface ethernet, por exemplo, "fxp0") Isso mostra todos os pacotes entrando e saindo da sua máquina para a porta UDP 53 (DNS) Fonte: Exercício de DNS 1
Se você quiser apenas ver quem está falando com quem na porta udp / tcp 53 sem exigindo ter a carga detalhada dessa conversa, sua melhor opção é usar o netflow.
Eu ouso adivinhar que você está usando o linux. Em caso afirmativo, você pode usar ulogd para gerar as informações de fluxo de rede do tráfego que está recebendo e, em seguida, processá-las usando nfdump (se você for orientado a linha de comando) e / ou nfsen (se você é mais do tipo visual) (nfdump / nfsen são parte do mesmo projeto opensource).
Como exemplo, o ulogd é ativado com apenas uma regra de iptables:
-A INPUT -j ULOG --ulog-cprange 48 --ulog-qthreshold 50
e com o fprobe-ulog rodando para que todo e qualquer fluxo gerado pelo ulogd vá para o coletor netflow (neste caso nfdump) escutando na porta que você configurou o nfdump para escutar (neste caso a porta 9995):
29040 ? Ssl 65:55 /usr/sbin/fprobe-ulog -Xeth0:100 localhost:9995
Então, se você quer saber, quem está tentando falar com seu servidor na porta udp / tcp 53, você pode consultar seus fluxos usando o nfdump:
root@my_machine:/usr/local/nfdump/bin/nfdump -R 2011 'dst port 53 && dst ip XXX.XXX.212.184' | more
Date flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Packets Bytes Flows
2011-01-07 06:23:28.031 0.000 UDP 200.80.42.244:54 -> XXX.XXX.212.184:53 1 63 1
2011-01-07 20:34:07.287 0.000 UDP 38.229.1.72:42196 -> XXX.XXX.212.184:53 1 119 1
2011-01-08 04:29:53.287 0.000 UDP 194.199.24.101:45274 -> XXX.XXX.212.184:53 1 57 1
2011-01-28 08:47:45.171 0.000 UDP 38.229.1.72:42914 -> XXX.XXX.212.184:53 1 119 1
2011-02-18 04:56:48.359 22.335 UDP 200.186.243.203:60808 -> XXX.XXX.212.184:53 3 211 1
2011-02-18 04:57:07.363 9.026 TCP 200.186.243.203:60970 -> XXX.XXX.212.184:53 3 144 1
2011-02-18 04:58:48.845 2.389 UDP 200.186.243.203:60808 -> XXX.XXX.212.184:53 2 116 1
2011-02-18 04:58:48.844 8.385 TCP 200.186.243.203:61051 -> XXX.XXX.212.184:53 3 144 1
2011-02-18 04:59:00.829 32.490 UDP 200.146.126.135:39171 -> XXX.XXX.212.184:53 5 339 1
2011-02-18 04:59:22.738 9.132 TCP 200.146.126.135:57213 -> XXX.XXX.212.184:53 3 152 1
...
...
...
Summary: total flows: 310, total bytes: 47456, total packets: 839, avg bps: 0, avg pps: 0, avg bpp: 56
Time window: 2011-01-07 06:23:28 - 2011-03-03 05:57:55
Total flows processed: 3087449, Blocks skipped: 0, Bytes read: 161058180
Sys: 0.966s flows/second: 3193300.5 Wall: 0.854s flows/second: 3611887.9
Para este problema específico que você está descrevendo, instalar ulogd e nfdump / nfsen pode parecer exagero, mas a experiência me diz que ter seu fluxo de rede habilitado irá ajudá-lo em qualquer tipo de solução de problemas de tráfego / segurança que você possa fazer no futuro então vale muito a pena o esforço.
Olá, sei que esta não é uma solução completa, mas é rápida e pode ser útil
lsof -i:53
Isso deve lhe dar uma idéia do que está usando a porta. (ps eu nunca usei para dns)
Tags iptables tcpdump ubuntu-10.04